Se você quiser importar usuários e grupos de um provedor de identidade SAML para a organização do sistema do VMware Cloud Director, deverá configurar a organização do sistema com esse provedor de identidade SAML. Os usuários importados podem fazer login na organização do sistema com as credenciais estabelecidas no provedor de identidade SAML.

Para configurar VMware Cloud Director com um provedor de identidade SAML, você estabelece uma confiança mútua trocando metadados do provedor de serviços SAML e do provedor de identidade.
Observação: Para uma integração de sucesso do VMware Cloud Director com provedores de identidade externos, determinar os valores e configurações corretos e garantir uma configuração adequada e precisa, consulte também a documentação do produto desses provedores de identidade.

Quando um usuário importado tenta fazer login, o sistema extrai os seguintes atributos do token SAML, se disponível, e os usa para interpretar as partes correspondentes de informações sobre o usuário.

  • email address = "EmailAddress"
  • user name = "UserName"
  • full name = "FullName"
  • user's groups = "Groups"
  • user's roles = "Roles" (esse atributo é configurável)

Informações de grupo são usadas se o usuário não é importado diretamente, mas espera-se que faça login em virtude da associação em grupos importados. Um usuário pode pertencer a vários grupos, portanto, pode ter várias funções durante uma sessão.

Se um usuário ou grupo importado for atribuído à função Transferir para Provedor de Identidade, as funções serão atribuídas com base nas informações coletadas do atributo Funções no token. Se um atributo diferente for usado, esse nome de atributo poderá ser configurado usando API e apenas o atributo Funções será configurável. Se a função Transferir para Provedor de Identidade for usada, mas nenhuma informação de função puder ser extraída, o usuário poderá fazer login, mas não terá direitos para executar nenhuma atividade.

Dica:

Para a versão 10.4.2 e posterior, se uma organização no VMware Cloud Director tiver SAML ou OIDC configurado, a UI exibirá apenas a opção Entrar com Single Sign-On. Para fazer login como usuário local, navegue até https://vcloud.example.com/tenant/tenant_name/login ou https://vcloud.example.com/provider/login.

Página de login do VMware Cloud Director com um botão de login SSO.

Para as versões 10.3.3 a 10.4.1, se uma organização no VMware Cloud Director tiver SAML ou OIDC configurado, para fazer login com seu provedor de identidade, selecione a opção Entrar com Single Sign-On.

Página de login do VMware Cloud Director com botões de login de usuário local e SSO.

Pré-requisitos

  • Verifique se você tem acesso a um provedor de identidade em conformidade com o SAML 2.0.
  • Obtenha um arquivo XML com os seguintes metadados do provedor de identidade SAML.
    • A localização do serviço single sign-on
    • A localização do serviço de logout único
    • A localização do certificado x.509 do serviço

    Para obter informações sobre como configurar e adquirir metadados de um provedor SAML, consulte a documentação do seu provedor SAML.

Procedimento

  1. Na barra de navegação superior, selecione Administração.
  2. No painel esquerdo, em Provedores de Identidade, clique em SAML e clique em Editar.
    As configurações do SAML atual são exibidas.
  3. Na guia Provedor de Serviços, baixe os metadados do provedor de serviço SAML do VMware Cloud Director.
    1. Insira uma ID de Entidade para a organização do sistema.

      A ID da Entidade identifica exclusivamente a organização do seu sistema para o seu Provedor de Identidade.

    2. Examine a data de expiração do certificado e, se expirar em breve, gere novamente o certificado clicando em Regenerar.
      O certificado está incluído nos metadados SAML e é usado para assinatura e criptografia. Uma ou ambas podem ser necessárias, dependendo de como a relação de confiança é estabelecida entre a organização e o IDP SAML.
    3. Clique em Recuperar Metadados.
      Seu navegador baixa os metadados do provedor de serviços SAML, um arquivo XML que você deve fornecer ao seu provedor de identidade.
  4. Na guia Provedor de Identidade, carregue os metadados SAML que você recebeu anteriormente do seu provedor de identidade.
    1. Selecione Usar Provedor de Identidade SAML.
    2. Clique no ícone Procurar e carregue o arquivo ou copie e cole seu conteúdo na caixa de texto XML de Metadados.
  5. Clique em Salvar.